【技术实现步骤摘要】
基于WinRM服务的防护方法及装置
[0001]本专利技术涉及网络安全攻击防护
,尤其涉及一种基于WinRM服务的防护方法及装置。
技术介绍
[0002]在网络渗透完整攻击链中,内网远程横向渗透阶段是指攻击者在一台已被攻陷的机器上去做跳板,通过这个突破口尝试去攻击同一网络里其他机器,获取更多有价值的凭据,更高级的权限,以此扩大攻击面,进而达到控制整个内网网络,最终完成发起APT(高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动)高级可持续威胁攻击的目的。其中,利用WinRM进行远程攻击是攻击者在内网横向渗透的一个常用攻击手段,WinRM服务是一种利用操作系统自身机制能力,传统网络攻击检测手段无法有效精确覆盖检测此类攻击手段。
技术实现思路
[0003]针对现有技术中的问题,本专利技术实施例提供一种基于WinRM服务的防护方法及装置。该方法解决了网络攻击监测缺乏有效精确识别内网远程WinRM执行命令的行为,提高安全威胁检测的效果。
[0004]具体地,本专利技术实...
【技术保护点】
【技术特征摘要】
1.一种基于WinRM服务的防护方法,其特征在于,所述方法包括:响应于检测到WinRM服务的进程,在所述进程中安装监控模块,所述监控模块用于监测所述进程是否加载目标模块;若已加载目标模块,则通过所述监控模块,在所述目标模块上设置Hook函数,所述Hook函数用于获取通过所述目标模块的数据,所述数据包括所述目标模块的执行参数和IP地址;判断所述数据的格式是否为目标格式,若是,则将所述数据解析,得到解析后的执行参数和解析后的IP地址,将所述解析后的执行参数通过预设规则匹配,根据匹配结果对所述进程的操作执行拦截,并根据所述解析后的IP地址对与所述IP地址对应的远程电脑进行安全响应。2.根据权利要求1所述的基于WinRM服务的防护方法,其特征在于,所述目标模块包括WsmSvc.dll模块。3.根据权利要求1
‑
2任一所述的基于WinRM服务的防护方法,其特征在于,所述目标模块中包括至少一个目标函数;以及所述若已加载目标模块,则通过所述监控模块,在所述目标模块上设置Hook函数,所述Hook函数用于获取通过所述目标模块的数据,所述数据包括所述目标模块的执行参数和IP地址,包括:若已加载目标模块,则通过所述监控模块,对所述目标模块中的所述至少一个目标函数分别设置对应的Hook函数,所述Hook函数用于获取通过对应的目标函数的数据,通过对应至少一个目标函数的至少一个Hook函数获取的数据包括对应所述进程的执行参数和IP地址。4.根据权利要求3所述的基于WinRM服务的防护方法,其特征在于,所述至少一个目标函数包括httpapi.dll.HttpReceiveHttpRequest函数、httpapi.dll.HttpReceiveRequestEntityBody函数和sspicli.dll.DecryptMessage函数。5.根据权利要求3所述的基于WinRM服务的防护方法,其特征在于,所述判断所述数据的格式是否为目标格式,包括:根据...
【专利技术属性】
技术研发人员:林岳川,孙诚,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。